19 deutsche Banken betroffen: BaFin warnt vor Trojaner Godfather

Die BaFin warnt vor dem Banking-Trojaner Godfather. Wie die Finanzaufsicht erklärt, ist die Schad-Software auch in Deutschland eine Gefahr für Kunden, da sie deren Eingaben bei verschiedenen Banking- und Krypto-Apps aufzeichnet. Dabei macht die Bundesanstalt für Finanzdienstleistungsaufsicht allerdings keine näheren Angaben, in welchem Umfang bereits Schäden für deutsche Banken oder deren Kunden entstanden sind oder welche Banking-Apps konkret betroffen sind.

Die Schadsoftware soll insgesamt rund 400 Banking- und Krypto-Apps angreifen, darunter auch solche von Betreibern aus Deutschland. Welche dies konkret sind, bleibt ebenso unklar wie die Vorgehensweise, mit der die Software auf die infizierten Endgeräte von Verbrauchern kommt. Bekannt und gesichert ist allerdings, dass Godfather gefälschte Websites von regulären Banking- und Krypto-Apps anzeigt. Loggen sich Verbraucher über diese Websites ein, werden ihre Login-Daten an die Cyber-Kriminellen übermittelt.

Wie Ende vergangenen Jahres verschiedene Security- und IT-Portale berichteten, wurde der Trojaner, der konkret über Android-Endgeräte kommt, bereits in 16 Ländern gefunden. Es soll sich bei der Malware um einen Nachfolger oder ein Derivat von Anubis handeln. Auch wenn man Godfather laut den Sicherheitsexperten von Cyble bereits seit 2021 kenne, sei die Schadsoftware so überarbeitet worden, dass sie auch die Nutzer aktueller Android-Versionen betrifft.

Godfather betrifft Android-Geräte

Dabei schleusen Angreifer die Malware als unsichtbares Anhängsel von seriös wirkenden und teilweise auch korrekt funktionierenden Apps auf die Mobilgeräte ihrer Opfer. Hier handelt es sich beispielsweise um einfache Anzeige-Apps für Standardfunktionen der Smartphones, die einfach zu programmieren sind – vom Wecker über das Notiz-Tool bis hin zum Kompass oder der Akkuoptimierung. Eine Anwendung, die Cyble benennt, ist etwa MYT Müzik im Google Play Store, die über zehn Millionen Mal heruntergeladen wurde (ob sie allerdings von Anfang an den Trojaner enthielt, ist unwahrscheinlich).

Nach der Installation imitiert Godfather die Login-Seiten von mehr als 400 Banken und Kryptobörsen – darunter auch 19 deutsche Geldhäuser, die Cyble allerdings nicht näher benennt. Hier greift die Malware nicht nur die Zugangsdaten ab, sondern übernimmt in Teilen auch die Kontrolle über den SMS-Empfang und die Smartphone-Benachrichtigungen. Außerdem liest sie Kontakt- und Anruflisten aus und verschickt zudem Push-Benachrichtigungen, um an die Codes für die Zwei-Faktor-Authentifizierung zu gelangen. Mit diesen Daten können die Cyber-Kriminellen möglicherweise auf die Konten und Wallets von Verbrauchern zugreifen.

Wer genau hinter der Malware steckt, ist unklar. Allerdings berichten Fachmedien, dass sich der Trojaner automatisch deaktiviere, sobald er auf einem Smartphone die eingestellte Sprache für die Regionen Russland, Aserbaidschan, Armenien, Belarus, Kasachstan, Kirgisistan, Moldawien, Usbekistan oder Tadschikistan vorfinde. Derzeit arbeiten Sicherheitsexperten noch an einer zuverlässigen Abwehr gegen den Trojaner. Immerhin hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) entsprechende Informationen und Vorkehrungen bereitgestellt. tw